《计算机系统安全风险评估ppt课件》由会员分享,可在线阅读,更多相关《计算机系统安全风险评估ppt课件(17页珍藏版)》请在金锄头文库上搜索。
1、2024/9/23;.1第第第第9 9章章章章 计算机系统安全风险评估计算机系统安全风险评估计算机系统安全风险评估计算机系统安全风险评估2024/9/23;.2本章主要内容本章主要内容本章主要内容本章主要内容计算机系统安全风险评估的目的和意义计算机系统安全风险评估的目的和意义计算机系统安全风险评估的目的和意义计算机系统安全风险评估的目的和意义 安全风险评估途径安全风险评估途径安全风险评估途径安全风险评估途径 安全风险评估方法安全风险评估方法安全风险评估方法安全风险评估方法 安全风险评估手段安全风险评估手段安全风险评估手段安全风险评估手段 安全风险评估的基本过程安全风险评估的基本过程安全风险评估
2、的基本过程安全风险评估的基本过程 CyberCop ScannerCyberCop Scanner安全评估工具的使用安全评估工具的使用安全评估工具的使用安全评估工具的使用 信息系统安全风险的评估实例信息系统安全风险的评估实例信息系统安全风险的评估实例信息系统安全风险的评估实例 2024/9/23;.39.19.1计算机系统安全风险评估的目的和意义计算机系统安全风险评估的目的和意义计算机系统安全风险评估的目的和意义计算机系统安全风险评估的目的和意义 1.1.风险评估是分析确定风险的过程风险评估是分析确定风险的过程风险评估是分析确定风险的过程风险评估是分析确定风险的过程2.2.信息安全风险评估是信
3、息安全建设的起点和基础信息安全风险评估是信息安全建设的起点和基础信息安全风险评估是信息安全建设的起点和基础信息安全风险评估是信息安全建设的起点和基础3.3.信息安全风险评估是需求主导和突出重点原则的具体体现信息安全风险评估是需求主导和突出重点原则的具体体现信息安全风险评估是需求主导和突出重点原则的具体体现信息安全风险评估是需求主导和突出重点原则的具体体现4.4.重视风险评估是信息化比较发达的国家的基本经验重视风险评估是信息化比较发达的国家的基本经验重视风险评估是信息化比较发达的国家的基本经验重视风险评估是信息化比较发达的国家的基本经验2024/9/23;.41.1.基线评估基线评估基线评估基线
4、评估(Baseline Risk Assessment)(Baseline Risk Assessment)2.2.详细评估详细评估详细评估详细评估3.3.组合评估组合评估组合评估组合评估9.2 9.2 安全风险评估途径安全风险评估途径安全风险评估途径安全风险评估途径 2024/9/23;.51.1.基于知识的评估方法基于知识的评估方法基于知识的评估方法基于知识的评估方法 2.2.基于模型的评估方法基于模型的评估方法基于模型的评估方法基于模型的评估方法3.3.定量评估方法定量评估方法定量评估方法定量评估方法4.4.定性分析方法定性分析方法定性分析方法定性分析方法5.5.定性与定量相结合的综合评
5、估方法定性与定量相结合的综合评估方法定性与定量相结合的综合评估方法定性与定量相结合的综合评估方法9.3 9.3 安全风险评估方法安全风险评估方法安全风险评估方法安全风险评估方法 2024/9/23;.6qq调查问卷调查问卷调查问卷调查问卷qq检查列表检查列表检查列表检查列表qq人员访谈人员访谈人员访谈人员访谈qq漏洞扫描器漏洞扫描器漏洞扫描器漏洞扫描器qq渗透测试渗透测试渗透测试渗透测试9.4 9.4 安全风险评估手段安全风险评估手段安全风险评估手段安全风险评估手段2024/9/23;.7qqCOBRACOBRAqqCRAMMCRAMMqqASSETASSETqqCORACORAqqCC to
6、olsCC tools目前常见的自动化风险评估工具介绍如下:目前常见的自动化风险评估工具介绍如下:目前常见的自动化风险评估工具介绍如下:目前常见的自动化风险评估工具介绍如下:2024/9/23;.81.1.计划和准备计划和准备计划和准备计划和准备具体应当包括以下内容:具体应当包括以下内容:具体应当包括以下内容:具体应当包括以下内容:目标目标目标目标范围和边界范围和边界范围和边界范围和边界系统描述系统描述系统描述系统描述角色和责任角色和责任角色和责任角色和责任风险评估行动计划风险评估行动计划风险评估行动计划风险评估行动计划风险接受标准风险接受标准风险接受标准风险接受标准风险评估适用表格风险评估适
7、用表格风险评估适用表格风险评估适用表格9.5 9.5 安全风险评估安全风险评估安全风险评估安全风险评估的基本过程的基本过程的基本过程的基本过程 2024/9/23;.92.2.确定资产确定资产确定资产确定资产 信息资产的存在形式有多种,包括:信息资产的存在形式有多种,包括:信息资产的存在形式有多种,包括:信息资产的存在形式有多种,包括: 各种文档各种文档各种文档各种文档 纸质文件纸质文件纸质文件纸质文件 软件资产软件资产软件资产软件资产 物理资产物理资产物理资产物理资产 人员人员人员人员 服务服务服务服务 组织形象与声誉组织形象与声誉组织形象与声誉组织形象与声誉2024/9/23;.103.3
8、.威胁分析威胁分析威胁分析威胁分析 威胁源通常:威胁源通常:威胁源通常:威胁源通常: 人员威胁:包括故意破坏人员威胁:包括故意破坏人员威胁:包括故意破坏人员威胁:包括故意破坏( (如网络攻击等如网络攻击等如网络攻击等如网络攻击等) )和无意失误和无意失误和无意失误和无意失误( (如误操作等如误操作等如误操作等如误操作等) )。 系统威胁:系统、网络或服务的故障系统威胁:系统、网络或服务的故障系统威胁:系统、网络或服务的故障系统威胁:系统、网络或服务的故障( (如软件故障、硬件故障等如软件故障、硬件故障等如软件故障、硬件故障等如软件故障、硬件故障等) )。 环境威胁:电源故障、液体泄漏、火灾等。
9、环境威胁:电源故障、液体泄漏、火灾等。环境威胁:电源故障、液体泄漏、火灾等。环境威胁:电源故障、液体泄漏、火灾等。 自然威胁:洪水、地震、台风等。自然威胁:洪水、地震、台风等。自然威胁:洪水、地震、台风等。自然威胁:洪水、地震、台风等。 2024/9/23;.114.4.脆弱点分析脆弱点分析脆弱点分析脆弱点分析常见的弱点有三类:常见的弱点有三类:常见的弱点有三类:常见的弱点有三类: 技术性弱点技术性弱点技术性弱点技术性弱点 操作性弱点操作性弱点操作性弱点操作性弱点 管理性弱点管理性弱点管理性弱点管理性弱点2024/9/23;.125.5.分析并评估现有的安全控制措施分析并评估现有的安全控制措施
10、分析并评估现有的安全控制措施分析并评估现有的安全控制措施安全控制措施可以分为:安全控制措施可以分为:安全控制措施可以分为:安全控制措施可以分为: 管理性管理性管理性管理性(Administrative)(Administrative) 操作性操作性操作性操作性(Operational)(Operational) 技术性技术性技术性技术性(Technical)(Technical)从控制的功能来看,安全控制措施又可以分为以下几类:从控制的功能来看,安全控制措施又可以分为以下几类:从控制的功能来看,安全控制措施又可以分为以下几类:从控制的功能来看,安全控制措施又可以分为以下几类: 威慑性威慑性威慑
11、性威慑性(Deterrent)(Deterrent) 预防性预防性预防性预防性(Preventive)(Preventive) 检测性检测性检测性检测性(Detective)(Detective) 纠正性纠正性纠正性纠正性(Corrective)(Corrective)2024/9/23;.136. 6.评估安全风险评估安全风险评估安全风险评估安全风险评估风险有两个关键因素,一个是威胁对信息资产造成的影响,另一个是威胁发生评估风险有两个关键因素,一个是威胁对信息资产造成的影响,另一个是威胁发生评估风险有两个关键因素,一个是威胁对信息资产造成的影响,另一个是威胁发生评估风险有两个关键因素,一个是
12、威胁对信息资产造成的影响,另一个是威胁发生的可能性,前者通过资产识别与评估已经得到了确认的可能性,前者通过资产识别与评估已经得到了确认的可能性,前者通过资产识别与评估已经得到了确认的可能性,前者通过资产识别与评估已经得到了确认( (即资产受影响的敏感度即资产受影响的敏感度即资产受影响的敏感度即资产受影响的敏感度) ),而,而,而,而后者还需要根据威胁评估、弱点评估、现有控制的评估来进行认定。后者还需要根据威胁评估、弱点评估、现有控制的评估来进行认定。后者还需要根据威胁评估、弱点评估、现有控制的评估来进行认定。后者还需要根据威胁评估、弱点评估、现有控制的评估来进行认定。2024/9/23;.14
13、7.7.报告实施报告实施报告实施报告实施报告内容包括:报告内容包括:报告内容包括:报告内容包括: 概述概述概述概述 评估结果评估结果评估结果评估结果 推荐安全控制措施,提出建设性的解决方案。推荐安全控制措施,提出建设性的解决方案。推荐安全控制措施,提出建设性的解决方案。推荐安全控制措施,提出建设性的解决方案。2024/9/23;.151. 1.风险的评判风险的评判风险的评判风险的评判2. 2.风险事件发生的概率风险事件发生的概率风险事件发生的概率风险事件发生的概率PsPs3. 3.风险事件发生后影响程度风险事件发生后影响程度风险事件发生后影响程度风险事件发生后影响程度C Cf f的模糊综合评判
14、的模糊综合评判的模糊综合评判的模糊综合评判4. 4.风险度风险度风险度风险度RsRs的计算的计算的计算的计算5. 5.案例案例案例案例9. 7 9. 7 信息系统安全风险的评估实例信息系统安全风险的评估实例信息系统安全风险的评估实例信息系统安全风险的评估实例2024/9/23;.16思考与练习思考与练习思考与练习思考与练习 9.1 9.1 请谈谈计算机信息系统安全风险评估在信息安全建设中的地位和重要意义。请谈谈计算机信息系统安全风险评估在信息安全建设中的地位和重要意义。请谈谈计算机信息系统安全风险评估在信息安全建设中的地位和重要意义。请谈谈计算机信息系统安全风险评估在信息安全建设中的地位和重要
15、意义。9.2 9.2 简述在风险评估时从哪些方面来收集风险评估的数据。简述在风险评估时从哪些方面来收集风险评估的数据。简述在风险评估时从哪些方面来收集风险评估的数据。简述在风险评估时从哪些方面来收集风险评估的数据。9.3 9.3 简述运用模糊综合评估法对信息系统进行风险评估的基本过程。简述运用模糊综合评估法对信息系统进行风险评估的基本过程。简述运用模糊综合评估法对信息系统进行风险评估的基本过程。简述运用模糊综合评估法对信息系统进行风险评估的基本过程。9.4 9.4 参参参参考考考考其其其其他他他他文文文文献献献献,列列列列举举举举其其其其他他他他对对对对信信信信息息息息系系系系统统统统进进进进
16、行行行行安安安安全全全全风风风风险险险险评评评评估估估估的的的的方方方方法法法法,比比比比较较较较它它它它们们们们的的的的优优优优缺缺缺缺点点点点,并选择一种评估方法对本单位并选择一种评估方法对本单位并选择一种评估方法对本单位并选择一种评估方法对本单位( (学校、院系学校、院系学校、院系学校、院系) )的系统安全作一次风险评估。的系统安全作一次风险评估。的系统安全作一次风险评估。的系统安全作一次风险评估。 2024/9/23;.179.5 9.5 实实实实 验验验验 : CyberCop CyberCop ScannerScanner安安安安 全全全全 扫扫扫扫 描描描描 工工工工 具具具具 使使使使 用用用用 。 实实实实 验验验验 内内内内 容容容容 : 安安安安 装装装装 CyberCop CyberCop ScannerScanner软件;扫描的配置;分析扫描报告;使用软件的附带工具。软件;扫描的配置;分析扫描报告;使用软件的附带工具。软件;扫描的配置;分析扫描报告;使用软件的附带工具。软件;扫描的配置;分析扫描报告;使用软件的附带工具。
